Azure API Management-Protokolle erfassen

In diesem Dokument wird beschrieben, wie Sie Azure API Management-Logs mithilfe eines Azure Storage-Kontos in Google Security Operations exportieren.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

• Google SecOps-Instanz
• Ein aktiver Azure-Mandant
• Privilegierter Zugriff auf Azure

Azure Storage-Konto konfigurieren

1. Suchen Sie in der Azure-Konsole nach Storage accounts (Speicherkonten).
2. Klicken Sie auf + Erstellen.
3. Geben Sie Werte für die folgenden Eingabeparameter an:
   • Abo: Wählen Sie das Abo aus.
   • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus.
   • Region: Wählen Sie die Region aus.
   • Leistung: Wählen Sie die Leistung aus (Standard wird empfohlen).
   • Redundanz: Wählen Sie die Redundanz aus (GRS oder LRS empfohlen).
   • Storage-Kontoname: Geben Sie einen Namen für das neue Speicherkonto ein.
4. Klicken Sie auf Überprüfen + Erstellen.
5. Sehen Sie sich die Übersicht des Kontos an und klicken Sie auf Erstellen.
6. Wählen Sie auf der Seite Storage Account Overview (Speicherkonto – Übersicht) unter Security + networking (Sicherheit + Netzwerk) das Untermenü Access keys (Zugriffsschlüssel) aus.
7. Klicken Sie neben key1 oder key2 auf Anzeigen.
8. Klicken Sie auf In die Zwischenablage kopieren, um den Schlüssel zu kopieren.
9. Bewahren Sie den Schlüssel an einem sicheren Ort auf, um ihn später zu verwenden.
10. Wählen Sie auf der Seite Storage Account Overview (Speicherkontoübersicht) unter Settings (Einstellungen) das Untermenü Endpoints (Endpunkte) aus.
11. Klicken Sie auf In die Zwischenablage kopieren, um die Endpunkt-URL des Blob-Dienstes zu kopieren, z. B. https://<storageaccountname>.blob.core.windows.net.
12. Speichern Sie die Endpunkt-URL an einem sicheren Ort, um sie später zu verwenden.

Logexport für Azure API Management-Logs konfigurieren

1. Melden Sie sich mit Ihrem privilegierten Konto im Azure-Portal an.
2. Suchen Sie im Azure-Portal nach der API Management-Dienst-Instanz und wählen Sie sie aus.
3. Wählen Sie Monitoring > Diagnoseeinstellungen aus.
4. Klicken Sie auf + Diagnoseeinstellung hinzufügen.
   • Geben Sie einen aussagekräftigen Namen für die Diagnoseeinstellung ein.
5. Wählen Sie Protokolle aus, die sich auf ApiManagement Gateway beziehen.
6. Wählen Sie das Kästchen In einem Speicherkonto archivieren als Ziel aus.
   • Geben Sie das Abo und das Speicherkonto an.
7. Klicken Sie auf Speichern.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

• SIEM-Einstellungen > Feeds > Neu hinzufügen
• Content Hub > Content-Packs > Erste Schritte

Azure API Management-Feed einrichten

1. Klicken Sie auf das Paket Azure-Plattform.
2. Suchen Sie den Protokolltyp Azure API Management und klicken Sie auf Neuen Feed hinzufügen.

3. Geben Sie Werte für die folgenden Felder an:

   • Quelltyp: Microsoft Azure Blob Storage V2.
   • Azure-URI: Die Blob-Endpunkt-URL.
     • ENDPOINT_URL/BLOB_NAME
       • Dabei gilt:
         • ENDPOINT_URL: Die Blob-Endpunkt-URL (https://<storageaccountname>.blob.core.windows.net)
         • BLOB_NAME: Der Name des Blobs (z. B. insights-logs-<logname>)

   • Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.

   • Maximales Dateialter: Enthält Dateien, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

   • Freigegebener Schlüssel: Der Zugriffsschlüssel für Azure Blob Storage.

   Erweiterte Optionen

   • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
   • Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
   • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

4. Klicken Sie auf Feed erstellen.

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten